我以前写的一个壳（已放上源程序，在47楼）-编程技术-看雪-安全社区|安全招聘|kanxue.com

我以前写的一个壳（已放上源程序，在47楼）

发表于: 2006-3-7 21:28 124803

我以前写的一个壳（已放上源程序，在47楼）

csdsjkk

2006-3-7 21:28

124803

曾经在看雪帖过
当时发现和win2k不兼容，
今天把它修改了，可以在win2k下运行
请大家帮我测试下反跟踪强度
另外，如果大家感兴趣，我可以把源程序贴出来

注：测试文件是peid.exe,我保证不带病毒，可能有些杀毒软件有误报

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

ccc.rar （359.76kb，1172次下载）

收藏・28

免费・7

支持

最新回复 (240) 1 2 3 4 5 6 7 8 9 10 ▶
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 2 楼简单说一下壳采用的几种反跟踪调试的方法：双进程、多线程（解码、检测调试、检测api断点）、 iat变形（用importrec自动跟踪可以抓出来）、自创的花指令等说实话，我自己跟起都很费力^_^ 2006-3-7 22:30 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 3 楼加壳程序可否提供一份参详！ 2006-3-7 22:47 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 4 楼最初由 qq7119 发布加壳程序可否提供一份参详！ 2006-3-7 22:55 0
laozheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	laozheng 5 楼支持楼主写出源程序。 2006-3-8 00:09 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 6 楼花指令太单调了。用脚本比较容易去掉 2006-3-8 00:56 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 7 楼原代码可以提供吗? 2006-3-8 08:45 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 8 楼最初由 Isaiah 发布花指令太单调了。用脚本比较容易去掉不知道你说得去掉是指删除还是不显示？如果，只是删除或修改的话，程序有检验代码完整性的功能，会导致解码错码 2006-3-8 09:43 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 9 楼当然可以贴出源程序但我很想听听大家对这个壳的看法有没有人完全跟出来了？ 2006-3-8 09:45 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 10 楼变单进程还没有进展，WHO指点下555 2006-3-8 09:49 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 11 楼很强劲,搞不定只能说膜拜 2006-3-8 09:54 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 12 楼我保证月底前贴出源程序不过，就我个人感受来说，要看懂别人的程序，可能比自己写还费劲^_^ 我是从不看别人写的具体代码，了解其思路就行了 2006-3-8 10:06 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 13 楼跟踪时遇到的具体问题，我很愿意和大家一起讨论 2006-3-8 10:10 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 14 楼最初由 liuyilin 发布变单进程还没有进展，WHO指点下555 程序用ｏｐｅｎｅｖｅｎｔ检测是否有双进程，而且用其返回值参与后面的解码，强制变单的话，要注意修改返回值（０或非０） 2006-3-8 10:17 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 15 楼完全不懂什么东西都断不下来 2006-3-8 10:25 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 16 楼最初由南蛮妈妈发布完全不懂什么东西都断不下来连南蛮都这样???强壳也! 2006-3-8 10:30 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 17 楼最初由南蛮妈妈发布完全不懂什么东西都断不下来不会吧能否具体说说哪个断不下来 2006-3-8 10:34 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 18 楼搞不定。跟踪后只知道：以"jdsglxg"为参数创建调试事件。子进程可以独立运行。 2006-3-8 10:36 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 19 楼最初由 csjwaman 发布搞不定。跟踪后只知道：以"jdsglxg"为参数创建调试事件。子进程可以独立运行。没有用调试进程两个进程其实是独立的，互不影响强制变单即可跳过，但要注意后面的解码使用了是否是双进程的标志 2006-3-8 10:41 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 20 楼大家对我写的花指令怎么看是不是觉得看着狠郁闷，哈哈 2006-3-8 10:44 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 21 楼先"jdsglxg"为参数创建事件，然后再OpenEventA是不是就可以转成单进程？但我调试后出现INT 0F7之类的异常。 2006-3-8 11:13 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 22 楼最初由 csjwaman 发布先"jdsglxg"为参数创建事件，然后再OpenEventA是不是就可以转成单进程？但我调试后出现INT 0F7之类的异常。 ME TOO 2006-3-8 11:14 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 23 楼最初由 csjwaman 发布先"jdsglxg"为参数创建事件，然后再OpenEventA是不是就可以转成单进程？但我调试后出现INT 0F7之类的异常。出现ｉｎｔ　０ｆ７ｈ是对的，用到了ｓｅｈ 2006-3-8 11:19 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 24 楼最初由 csdsjkk 发布出现ｉｎｔ　０ｆ７ｈ是对的，用到了ｓｅｈ可是过不去呀？ 2006-3-8 11:22 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 25 楼最初由 liuyilin 发布可是过不去呀？如果ｉｎｔ　ｆ７后面是个循环，那么是在等待另一个线程解码完毕，才会往下走 2006-3-8 11:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

csdsjkk

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (240) 1 2 3 4 5 6 7 8 9 10 ▶
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 2 楼简单说一下壳采用的几种反跟踪调试的方法：双进程、多线程（解码、检测调试、检测api断点）、 iat变形（用importrec自动跟踪可以抓出来）、自创的花指令等说实话，我自己跟起都很费力^_^ 2006-3-7 22:30 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 3 楼加壳程序可否提供一份参详！ 2006-3-7 22:47 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 4 楼最初由 qq7119 发布加壳程序可否提供一份参详！ 2006-3-7 22:55 0
laozheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	laozheng 5 楼支持楼主写出源程序。 2006-3-8 00:09 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 6 楼花指令太单调了。用脚本比较容易去掉 2006-3-8 00:56 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 7 楼原代码可以提供吗? 2006-3-8 08:45 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 8 楼最初由 Isaiah 发布花指令太单调了。用脚本比较容易去掉不知道你说得去掉是指删除还是不显示？如果，只是删除或修改的话，程序有检验代码完整性的功能，会导致解码错码 2006-3-8 09:43 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 9 楼当然可以贴出源程序但我很想听听大家对这个壳的看法有没有人完全跟出来了？ 2006-3-8 09:45 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 10 楼变单进程还没有进展，WHO指点下555 2006-3-8 09:49 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 11 楼很强劲,搞不定只能说膜拜 2006-3-8 09:54 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 12 楼我保证月底前贴出源程序不过，就我个人感受来说，要看懂别人的程序，可能比自己写还费劲^_^ 我是从不看别人写的具体代码，了解其思路就行了 2006-3-8 10:06 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 13 楼跟踪时遇到的具体问题，我很愿意和大家一起讨论 2006-3-8 10:10 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 14 楼最初由 liuyilin 发布变单进程还没有进展，WHO指点下555 程序用ｏｐｅｎｅｖｅｎｔ检测是否有双进程，而且用其返回值参与后面的解码，强制变单的话，要注意修改返回值（０或非０） 2006-3-8 10:17 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 15 楼完全不懂什么东西都断不下来 2006-3-8 10:25 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 16 楼最初由南蛮妈妈发布完全不懂什么东西都断不下来连南蛮都这样???强壳也! 2006-3-8 10:30 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 17 楼最初由南蛮妈妈发布完全不懂什么东西都断不下来不会吧能否具体说说哪个断不下来 2006-3-8 10:34 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 18 楼搞不定。跟踪后只知道：以"jdsglxg"为参数创建调试事件。子进程可以独立运行。 2006-3-8 10:36 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 19 楼最初由 csjwaman 发布搞不定。跟踪后只知道：以"jdsglxg"为参数创建调试事件。子进程可以独立运行。没有用调试进程两个进程其实是独立的，互不影响强制变单即可跳过，但要注意后面的解码使用了是否是双进程的标志 2006-3-8 10:41 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 20 楼大家对我写的花指令怎么看是不是觉得看着狠郁闷，哈哈 2006-3-8 10:44 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 21 楼先"jdsglxg"为参数创建事件，然后再OpenEventA是不是就可以转成单进程？但我调试后出现INT 0F7之类的异常。 2006-3-8 11:13 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 22 楼最初由 csjwaman 发布先"jdsglxg"为参数创建事件，然后再OpenEventA是不是就可以转成单进程？但我调试后出现INT 0F7之类的异常。 ME TOO 2006-3-8 11:14 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 23 楼最初由 csjwaman 发布先"jdsglxg"为参数创建事件，然后再OpenEventA是不是就可以转成单进程？但我调试后出现INT 0F7之类的异常。出现ｉｎｔ　０ｆ７ｈ是对的，用到了ｓｅｈ 2006-3-8 11:19 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 24 楼最初由 csdsjkk 发布出现ｉｎｔ　０ｆ７ｈ是对的，用到了ｓｅｈ可是过不去呀？ 2006-3-8 11:22 0
csdsjkk 雪币： 209 活跃值： (45) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	csdsjkk 1 25 楼最初由 liuyilin 发布可是过不去呀？如果ｉｎｔ　ｆ７后面是个循环，那么是在等待另一个线程解码完毕，才会往下走 2006-3-8 11:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复